思科的安全研究小组的Talos揭示了一个新的安全漏洞在使用这些天,在所有主要浏览器的存在,包括谷歌浏览器,苹果Safari和微软的Win10专业版 edge浏览器。
但相对于谷歌和苹果,谁已经修补的漏洞在他们的浏览器,微软表示,它不会提供一个解决因为这是由设计和更新是不需要的。
具体来说,grødum尼科莱大学思科说该漏洞(详细CVE 2017 - 5033和CVE 2017 - 2419)存在于旧版本的谷歌浏览器和苹果的Safari,所以保持你需要更新Chrome 57.0.2987.98之后,Safari 10.1和iOS 10.3。在微软的边缘的情况下,40.15063版本是一个bug被发现,没有一个补丁,更新的版本也很脆弱。
该安全漏洞存在于浏览器的处理方式:空白,允许XSS攻击,最后将使在线用户信息。信息披露的漏洞不是减少缺陷的关键,但Talos警告说,没有一个补丁,保密细节可能被盗如果攻击者设法绕过由服务器设置的内容安全策略。
“XSS攻击可以让攻击者exfiltrate机密数据甚至接管用户帐户被认为是一个严重的问题。内容安全策略是专门设计与心中的XSS攻击的预防和允许服务器白名单可信资源,信任是通过Web浏览器安全地执行,”Talos说,强调这一漏洞,攻击者可以绕过CPS和窃取信息,他们不是原来允许访问。
这还有待观察,如果微软改变主意的船只这一漏洞的补丁,但同时,不管你使用的浏览器,你应该安装最新版本尽快确保你不会受到任何攻击。
相关文章
网友评论(共有 0 条评论)
